0 0 APP

漏洞挖掘 | 一处图片引用功能导致的XSS

发布于 2020/01/18 安全脉搏
山重水复疑无路 漏洞点:站点产品评论处 初步测试 一开始尝试XSS,发现程序有过滤,提交均显示Tags are not permitted,最后测出来的是过滤 < ,不过滤 > 因为提示速度比较快,猜测前端有一层检测。尝试绕过前端检测,burp拦截正常提交的内容,替换xss payload后发送,发现会自动跳转回首页,由此发现程序后端也有内容检测,这里直接xss暂时行不通。 查看编辑器的其他功能: 图片上传:可上传aspx(其他可能解析后缀均已尝试),不能解析并跳转至首页。可上传html并解析,这种方式构造的xss通常需要主动攻击,且攻击时易被管理员察觉到异常,暂不考虑。 表情功能:没什么可利用的。 柳暗花明又一村 当看到编辑器提示的 img 外部图片引用方式时引... 登录后阅读全文
本站内收录的所有文章及其中资源(图片、视频等)均来自于互联网,其版权均归原作者及其网站所有。

评论(0)